披露时间：2025年3月18日

情报来源：https://mp.weixin.qq.com/s/3nPKv9Dzre3f1MCSsmyCvA

相关信息：

安恒研究人员发布报告称，“台独”势力通过资通电军对大陆实施网络攻击和渗透活动，其中“毒云藤”组织自2007年以来长期针对中国大陆的国防、政府、科技和教育领域进行网络间谍攻击。该组织惯用鱼叉式钓鱼攻击和钓鱼网站，选取与目标相关的诱饵内容，如通知、会议材料等，诱导目标提供账户密码。此外，还使用带有漏洞的文档和伪装程序，以及多种远控木马。国家安全部已公开4名资通电军成员身份，并查获其网攻平台，显示了大陆在网络安全和国家主权问题上的强硬态度。随着网络空间成为政治博弈的新战场，APT攻击已成为某些国家和地区达成政治、经济目标的重要工具，对国家安全和社会稳定构成严重威胁，因此强化网络安全防护体系、提高识别和抵御APT攻击的安全能力显得尤为重要。

披露时间：2025年3月17日

情报来源：https://mp.weixin.qq.com/s/mxDczIvNJgSKw0b7bllfTQ

相关信息：

2024年下半年，安天应急响应中心跟踪到“绿斑”组织针对我国特定行业目标的APT攻击活动。攻击者向目标单位的官方账号发鱼叉式钓鱼邮件，引导目标点击链接访问伪装成某单位的恶意网站，该网站主动跳转下载，诱导受害者保存并执行伪装成PDF图标的下载器程序，下载器负责获取和解密伪装成视频后缀的恶意载荷在内存中运行。截止目前观察到的恶意载荷主要是Sliver远控木马等开源的命令与控制框架，攻击者以此对目标开展长期的主机控制、网络横向移动和窃密活动。

披露时间：2025年3月13日

情报来源：https://www.esentire.com/blog/unraveling-the-many-stages-and-techniques-used-by-redcurl-earthkapre-apt

相关信息：

eSentire的威胁响应团队（TRU）揭露了RedCurl/EarthKapre APT组织针对法律行业目标的复杂多阶段攻击活动。攻击者通过伪装成求职简历的PDF文件诱导用户下载包含ISO文件的ZIP存档，用户打开ISO文件后，Adobe合法可执行文件（ADNotificationManager.exe）会侧加载恶意DLL（netutils.dll）。第一阶段恶意软件下载并执行下一阶段，第二阶段执行侦察命令，收集系统信息并利用SysInternals AD Explorer和7-Zip工具压缩数据，随后通过PowerShell PUT请求将数据上传到C2服务器。第三阶段从C2下载最终载荷，执行进一步恶意活动。攻击者使用低检测率变种、加密和XOR解密技术规避检测，并利用Cloudflare Workers作为C2基础设施。

披露时间：2025年3月12日

情报来源：https://bi.zone/eng/expertise/blog/sotni-tysyach-rubley-za-vashi-sekrety-kibershpiony-squid-werewolf-maskiruyutsya-pod-rekruterov/

相关信息：

BI.ZONE发现Squid Werewolf（APT37）组织通过伪装成招聘人员发送网络钓鱼邮件，邮件中包含一个带有密码保护的ZIP文件，密码在邮件中提供。该ZIP文件包含一个LNK文件，一旦打开，会执行一系列恶意操作，包括解码Base64数据、复制文件到启动目录以实现持久化、保存解码数据到多个文件，并运行恶意可执行文件。

恶意软件的主要功能包括：检查互联网连接以确认网络可用性；通过检测程序运行时间来防止在沙箱环境中执行；禁用启动文件夹中的自动运行项以避免被轻易发现；检查是否存在本地配置文件，若存在则读取并解密其中的AES128 CBC加密的恶意载荷并在内存中执行，若不存在则从远程服务器下载并执行新的载荷，同时将下载的载荷加密保存到本地配置文件中以供后续使用。

披露时间：2025年3月18日

情报来源：https://unit42.paloaltonetworks.com/github-actions-supply-chain-attack/

相关信息：

2025年3月14日，安全研究人员发现GitHub Actions中的tj-actions/changed-files动作被篡改，攻击者通过注入恶意代码，将CI/CD运行器的内存数据转储到工作流日志中，暴露了敏感的环境变量和秘密。此次攻击影响了超过23,000个GitHub仓库，攻击者利用泄露的GitHub个人访问令牌（PAT）进行操作，并通过修改历史版本标签，确保几乎所有版本的行动都会执行被篡改的代码。

调查发现，此次tj-actions/changed-files动作的篡改起源于reviewdog组织的另一个仓库被攻破，攻击者通过在reviewdog/action-setup动作中注入恶意代码，间接影响了tj-actions/eslint-changed-files动作。此外，reviewdog组织的其他动作也被发现遭到篡改，目前任何reviewdog组织的仓库或动作都被认为存在风险。

披露时间：2025年3月17日

情报来源：https://www.seqrite.com/blog/steganographic-campaign-distributing-malware/

相关信息：

最近，sqrite研究人员观察到多个窃取恶意软件，例如 Remcos、DcRAT、AgentTesla、VIPKeyLogger等，通过隐写术活动进行传播。感染链始于一封包含 excel 文件的钓鱼邮件，该文件利用 excel 中的 CVE-2017-0199 漏洞并发出 http 请求下载 .hta 文件。由 .vbs 代码组成的 .hta 文件会编写一个批处理文件，该文件会连接到粘贴 URL 并下载另一个经过混淆的 .vbs 脚本。.vbs 脚本会下载一个 .jpg 文件，其中包含填充的 base64 编码的第二阶段有效载荷（恶意加载程序）文件，该文件会被解码，并通过脚本调用函数 VAI。加载程序文件会获取 URL 和目标进程名称作为参数，然后下载一个反向 base64 编码的文件，该文件解码后得到最终有效载荷 Remcos 和 AsyncRAT。

披露时间：2025年3月13日

情报来源：https://rmceoin.github.io/malware-analysis/2025/03/13/supply-chain.html

相关信息：

近期发现，超过100家汽车经销商因第三方视频服务遭受供应链攻击。攻击者利用该服务注入恶意Javascript代码，将访问者引导致一个伪装成“ClickFix”的网页。该页面会显示一个复选框，要求用户确认“我不是机器人”，并按照提示执行Windows运行命令，将复制板中预设的指令粘贴到命令提示符中。随后，恶意PowerShell命令被触发，执行一段经过Base64混淆的脚本，该脚本通过Bitly重定向下载压缩包，解压后运行恶意程序zkwindow.exe，从而植入SectopRAT远控木马，窃取敏感信息。调查显示，此次攻击并非针对汽车经销商官网，而是利用第三方视频服务这一供应链环节实施，具有高度隐蔽性与传播性。受害者中包括知名的LES Automotive，该公司已迅速修复漏洞。

披露时间：2025年3月18日

情报来源：https://cert.gov.ua/article/6282737

相关信息：

乌克兰计算机应急响应中心 (CERT-UA) 警告称，存在高度针对性的攻击，攻击者利用被入侵的 Signal 账户向军工企业员工和军人发送恶意软件。公告提到，攻击始于本月，攻击内容是 Signal 信息中包含伪装成会议报告的档案。由于其中一些消息是由目标熟悉的联系人发送的，因此他们打开档案的可能性更高。

该档案包含一个 PDF 和一个可执行文件，第一个文件可以诱骗受害者打开并触发第二个文件的启动。该可执行文件被归类为 DarkTortilla 加密器/加载器，启动后会解密并执行远程访问木马 Dark Crystal RAT。CERT-UA 表示，该活动被标记为 UAC-0200 进行跟踪，这是一个自 2024 年 6 月以来使用 Signal 进行类似攻击的威胁集群。

披露时间：2025年3月13日

情报来源：https://www.securonix.com/blog/analyzing-obscurebat-threat-actors-lure-victims-into-executing-malicious-batch-scripts-to-deploy-stealthy-rootkits/

相关信息：

Securonix 威胁研究机构发现了一项隐秘的恶意软件活动，该活动被追踪为 OBSCURE#BAT，它使用社会工程和欺骗性文件下载来破坏系统。攻击始于高度混淆的批处理脚本，这些脚本部署了一个名为 r77 的用户模式 rootkit，能够隐藏文件、进程和注册表项。该恶意软件通过计划任务和注册表注入的 PowerShell 脚本建立持久性，因此很难使用标准工具进行检测。r77 rootkit 可以屏蔽以特定前缀开头的任何文件、注册表项或任务。攻击者的方法包括伪造的 CAPTCHA 提示和伪装成合法软件。该恶意软件隐藏其工件和操纵系统进程的能力代表着重大威胁，因为它可以逃避检测并保持持久存在。Securonix 的分析表明，该恶意软件监视用户交互，包括剪贴板活动，并将这些数据保存到隐藏文件中，最终目标似乎是数据泄露和系统控制。

披露时间：2025年3月18日

情报来源：https://www.malwarebytes.com/blog/scams/2025/03/amos-and-lumma-stealers-actively-spread-to-reddit-users

相关信息：

Malwarebytes发现，针对Mac和Windows用户的恶意软件AMOS和Lumma Stealer正在通过Reddit帖子传播，这些帖子主要针对参与加密货币交易的用户。攻击者在Reddit的加密货币相关子版块中发布关于免费获取TradingView（一个提供金融市场分析工具的在线平台）破解版的帖子，声称这些程序完全免费且解锁了高级功能。实际上这些帖子提供的Windows和Mac安装程序链接被植入了恶意软件，分别为Lumma Stealer和AMOS。这两种恶意软件通过接管加密货币钱包获得了可观的收益。

研究人员发现，这些恶意文件被双重压缩，并且最终的压缩包设有密码保护。在Mac上，安装程序是AMOS的一个新变种，该恶意软件会检查是否存在虚拟机，并在检测到时以错误代码42退出。AMOS通过向位于塞舌尔的服务器发送POST请求来窃取用户数据。在Windows上，恶意载荷通过一个混淆的批处理文件加载，该文件运行一个恶意的Autoit脚本。该恶意软件的命令与控制服务器由俄罗斯某人注册。

披露时间：2025年3月17日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/

相关信息：

2024年11月，微软事件响应团队发现了一种名为StilachiRAT的新型远程访问木马（RAT），该木马通过复杂的手段逃避检测、在目标环境中持久化，并窃取敏感数据。据悉，StilachiRAT的关键能力包括：系统侦察（收集操作系统、硬件标识符、摄像头信息等）、针对数字钱包（扫描20种不同的Chrome浏览器加密货币钱包扩展）、凭证盗窃（从Google Chrome中提取和解密保存的凭证）、C2通信（通过TCP端口53、443或16000与远程服务器通信）、命令执行（支持系统重启、日志清除、注册表操作等）、持久化机制（通过Windows服务控制管理器和看门狗线程确保自我恢复）、RDP会话监控（捕获活动窗口信息并模拟用户）、剪贴板和数据收集（持续监控剪贴板内容并搜索敏感信息）以及反取证和规避技术（清除事件日志、检测分析工具和沙箱规避行为）。此外，StilachiRAT通过Windows API调用的混淆和自定义算法编码文本字符串，增加了分析难度。

披露时间：2025年3月17日

情报来源：https://www.mcafee.com/blogs/internet-security/deepseek-or-deep-threat-how-hackers-are-using-ai-hype-to-deliver-malware/

相关信息：

随着AI技术的普及，诈骗者利用生成式AI工具制造虚假内容和钓鱼攻击，同时借助热门搜索趋势诱骗用户。DeepSeek作为一种开源AI模型，因低成本和高性能受到关注，但也被诈骗者利用其热度伪装成合法软件，传播包括加密货币矿工、假安装程序和钓鱼网站在内的恶意软件。

迈克菲实验室发现了多种以 DeepSeek 为主题的恶意软件活动，这些活动试图利用 DeepSeek 的流行度，瞄准精通技术的用户。其中，一些假冒的DeepSeek安装程序会捆绑第三方软件（如winManager和Audacity），并利用DeepSeek的图标增加可信度。此外，还有假冒的DeepSeek主题的假验证码页面，通过“品牌伪装”技术诱骗用户下载恶意软件。这些恶意软件可能会窃取用户信息、修改浏览器设置或进行加密货币挖矿。研究人员还对一种伪装成DeepSeek的加密货币矿工进行了技术分析。该恶意软件通过与C&C服务器通信下载并执行PowerShell脚本，利用进程注入技术在合法进程中运行恶意代码，并通过修改注册表项实现持久化。最终，该恶意软件会利用系统资源秘密挖掘Monero加密货币。

披露时间：2025年3月14日

情报来源：https://www.trendmicro.com/en_us/research/25/c/socgholishs-intrusion-techniques-facilitate-distribution-of-rans.html

相关信息：

SocGholish是一种复杂的恶意软件即服务（MaaS）框架，通过混淆的JavaScript加载器和多阶段攻击链传播RansomHub勒索软件。攻击者利用受感染的合法网站和恶意Keitaro TDS实例，将用户重定向至伪装成浏览器更新通知的页面，诱使用户下载并执行包含SocGholish加载器的恶意文件。该加载器能够下载和执行恶意载荷、窃取敏感数据并提供持久访问权限，为勒索软件部署提供初始入口。SocGholish的攻击主要集中在美、日及中国台湾地区，政府机构和银行行业受影响最为严重。

披露时间：2025年3月19日

情报来源：https://mp.weixin.qq.com/s/3g8dPS9S_o2FrwRxgZoszw

相关信息：

DBatLoader加载器最初于2020年被发现，主要被用于投放包括Snake Keylogger、Formbook和Agent Tesla在内的多种恶意代码家族。DBatLoader加载器的加载过程分为两个阶段，其中第一阶段主要用于规避反病毒引擎的检测，并在内存中解密运行第二阶段载荷。在第二阶段过程中，DBatLoader加载器采用“DDR”（Dead Drop Resolvers）技术，从公共代码托管网站上下载并解密待投递的恶意代码家族，而后通过多种手法将其注入到其他程序内以实现隐蔽运行。

披露时间：2025年3月14日

情报来源：https://cybersecuritynews.com/ruby-saml-vulnerabilities-bypass-authentication/

相关信息：

GitHub安全实验室发现了ruby-saml库中的两个关键身份验证绕过漏洞（CVE-2025-25291和CVE-2025-25292），这些漏洞影响了1.17.0及以下版本的ruby-saml，可能使大量Web应用程序面临账户接管攻击的风险。这些漏洞源于ruby-saml在SAML响应签名验证过程中使用了两种不同的XML解析器——REXML和Nokogiri，导致攻击者可以操纵验证检查。攻击者可以构造一个恶意的SAML响应，其中包含两个不同的Signature元素，分别被REXML和Nokogiri解析，从而绕过身份验证机制。GitHub与ruby-saml的维护者合作开发并发布了修复程序，受影响的组织应立即更新到1.18.0版本，以防止潜在的攻击。

披露时间：2025年3月16日

情报来源：https://cybersecuritynews.com/critical-vulnerabilities-in-delphi-code/

相关信息：

研究人员发现了Delphi编程语言中的严重内存损坏漏洞，这些漏洞表明Delphi代码在某些编码模式下可能与C/C++一样容易受到内存损坏问题的影响，尽管其被认为是一种“内存安全”语言。这些漏洞与Delphi处理内存管理的方式密切相关，尤其是数组、字符串和对象分配方面。研究团队通过多个概念验证示例展示了这些漏洞，包括栈和堆基础的损坏场景。他们的发现表明，尽管调试构建可以通过范围检查捕获某些问题，但默认编译器设置下的发布构建可能非常容易受到攻击。研究人员还展示了某些系统函数（如Move、FillChar、BlockRead和BlockWrite）即使在启用时也可以绕过数组边界检查。此外，他们还展示了由于错误处理对象生命周期而导致的堆基础漏洞（如释放后使用）。这些研究结果提醒开发人员，不应假设任何语言在没有适当实践和编译器设置的情况下提供完整的内存安全。